phpBB.de

Ausführlich zu diesem Thema gibt es zu dem oben von IPB_Flüchtling genannten Eintrag in meinem Blog auch seit 2. Mai eine kurze Ankündigung auf meinem Portal wo nochmal speziell auf das Thema eingegangen wird und häufig gestellte Fragen beantwortet werden:

http://www.community.cback.de


die Konstantenprüfung
verläuft übrigens unabhängig vom CrackerTracker. Das heißt auch wenn Du keinen CrackerTracker installiert hast kannst Du so die Dateien die eingebunden werden (jepp es bezieht sich, je nach Mod, auch auf die eingebundenen Dateien in anderen Ordnern) absichern.


Allerdings empfiehlt es sich, um das Forum selbst noch besser zu sichern neben der aktuellen Serversoftware und natürlich phpBB Version auch noch die installation des CrackerTrackers, da dieser den entstehenden Traffic und die entstehende DB Belastung bei "herkömmlichen" Attacken auf Boardfiles stark reduziert und darüber hinaus noch einige andere Sicherheitsfunktionen bringt. Ist dann also neben der anderweitig genannten Sicherheit noch ein zusätzlicher Schutz vor Schädlingen.

Ahoi,

ja, Du bist auf der richtigen Spur! Die Voraussetzung dafür ist aber, dass die Datei, welche die "includierte" Datei aufruft, folgende Zeile aufweist (findet sich eigentlich bei so gut wie jedem Mod, der mir bislang untergekommen ist, ziemlich weit oben im Quelltext):
Nur wenn diese Zeile in der aufrufenden Datei vorhanden ist, kann in der aufgerufenen, includierten Datei folgendes funktionieren:
Ein Mod, den ich auf diese Weise nachgerüstet habe, ist übrigens der Recent Topics - Mod.

Mit dem CrackerTracker, den ich persönlich für empfehlenswert halte, hat das Ganze übrigens nichts zu tun.

BTW: Es gibt auch eine Standalone Variante des Cracker Tracker, mit der man php-Dateien, die den phpBB-CrackerTracker (sofern installiert) nicht über
laden, zusätzlich schützen kann.

EDIT: cback war um 1 Minute schneller.

LG, IPB_Flüchtling

Danke für die Antwort

Den Chrackertracker hab ich schon seid ein paar monaten drinne und den advanced guestbook mod hab ich gerade auch mal entfernt

IPB_Flüchtling hat geschrieben:[...]
Mit dem CrackerTracker, den ich persönlich für empfehlenswert halte, hat das Ganze übrigens nichts zu tun.
[...]

Ich kann den CrackerTracker auch nur wärmstens empfehlen, denn bei mir hat auch jemand versucht über diese Sicherheitslücke einzudringen, noch bevor dies in den News bekannt gemacht wurde.
Der CrackerTracker hat mein Board gerettet!
Ich habe mittlerweile den fehlenden Code selbstverständlich in der entsprechenden Datei nachgepflegt.

Hallo,

ich habe den Hinweis von cback gelesen, aber so richtig verstehe ich das leider nicht.

Ich habe dies
nun ich die kb_constants.php eingetragen.

Wo muß das denn noch hin?


Trifft dies auch auf einen von diesen Mods zu?

Smartor Album 2.0.53
DB-Maintence 1.3.6
Imagesource Validation Mod 0.0.1
Merge Mod 2.0.18
Move Message Mod 3.0.3
Multivote Mod 1.4.2
schon gewusst 1.0.0
Fully integrated shoutbox 1.1.6
simple Admin Userlist 2.0.2

Vielleicht kann mir einer helfen.

suche in den Dateien des Mods nach dem "include" oder "include_once"-Befehl. Dann prüfe diese Dateien (also die, die includet werden) ob der einzufügende Code schon drin ist.

wäre natürlich interessant zu wissen wo es überall notwendig ist. vielleicht ist jemand so nett und veröffentlicht das mal für die mods wo es bereits gefunden wurde bzw. rein sollte.

Das wird bei so vielen Mods nicht möglich sein, eine annähernd komplette Liste zu erstellen.

IPB_Flüchtling hat geschrieben:

Code: Alles auswählen

if (!defined('IN_PHPBB'))
{
	die('Hacking attempt');
}

Normalerweise genügt es schon, im /includes-Verzeichnis die gleiche .htaccess-Datei abzulegen wie im /cache-Verzeichnis, also
Das macht auf jeden Fall weniger Arbeit als die Methode, um jede in diesem Verzeichnis liegende PHP-Datei mit "if (!defined('IN_PHPBB'))..." zu ergänzen, dürfte aber eigentlich genauso effektiv sein.

Muss man die reinen functions-dateien auch mit den paar Codezeilen schützen?
Also die Files, die nur Funktionen enthalten.